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Verfahren zum Konf igurieren eines sicheren Busteilnehmers und 
sicheres Steuerunassvstem mit einem solchen 

Die vorliegende Erfindung betrifft ein Verfahren zum Konfigu- 
rieren eines sicheren Busteilnehmers beim AnschlieBen an einen 
Feldbus in einem sicheren Steuerungssystem, wobei dem sicheren 
Busteilnehmer eine definierte Teilnehmeradresse zugeordnet 
wird. 

Die Erfindung betrifft dariiber hinaus auch ein Steuerungssystem 
zum sicheren Steuern von sicherheitskritischen Prozessen, mit 
zumindest einem sicheren Busteilnehmer, der an einen Feldbus 
angeschlossen ist, wobei der sichere Busteilnehmer erste Mittel 
zum Aufnehmen und Auswerten eines Bustelegramms sowie einen 
Speicher zum Speichern einer dem Busteilnehmer zugeordneten 
Teilnehmeradresse auf weist . 



Ein derartiges Verfahren bzw. ein derartiges Steuerungssystem 
sind aufgrund ihrer Verwendung beim Steuern von sicherheitskri- 
tischen Prozessen bekannt. 

Bei einem Feldbus handelt es sich urn ein System zur Datenkommu- 
nikation, bei dem die angeschlossenen Busteilnehmer liber eine 
Sammelleitung miteinander verbunden sind. Daher konnen zwei an 
den Feldbus angeschlossene Busteilnehmer miteinander kommuni- 
zieren, ohne individuell direkt miteinander verkabelt zu sein. 
Beispiele fiir bekannte Feldbusse sind der sogenannte CAN-Bus, 
der sogenannte Profibus und der sogenannte Interbus. 

Im Bereich der Steuer- und Automatisierungstechnik ist die Ver- 
wendung von Feldbussen bereits seit langerem hinreichend be- 
kannt. Dies gilt jedoch nicht fiir die Steuerung von sicher- 
heitskritischen Prozessen, bei denen in der Praxis bis in die 
jungste Vergangenheit hinein die an der Steuerung beteiligten 
Einheiten individuell miteinander verkabelt wurden. Grund hier- 
fiir ist, daJ3 die bekannten Feldbusse die zur Steuerung von si- 
cherheitskritischen Prozessen erf order liche Fehlersicherheit 
(Fehlerwahrscheinlichkeit kleiner als 10" 11 ) nicht gewahrleisten 
konnten. Zwar besitzen alle bekannten Feldbusse MaBnahmen zur 
Fehlersicherung bei der Dateniibertragung, diese MaBnahmen sind 
jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu 
gewahrleisten. Hinzu kommt, daB Feldbusse offene Systeme sind, 
an die grundsatzlich beliebige Einheiten angeschlossen werden 
konnen. Dabei besteht die Gefahr, daB eine Einheit, die mit ei- 
nem zu steuernden sicherheitskritischen ProzeB gar nichts zu 
tun hat, diesen ungewollt beeinfluBt. 



Unter einem sicherheitskritischen Prozefl wird hier ein Prozefi 
verstanden, von dem bei Auftreten eines Fehlers eine nicht ak- 
zeptable Gefahr fur Menschen oder materielle Guter ausgeht. Bei 
einem sicherheitskritischen ProzeB muR daher mit im Idealfall 
100%iger Sicherheit gewahrleistet sein, dafl der ProzeB bei Auf- 
treten eines Fehlers in einen sicheren Zustand liber fuhrt wird. 
Dies kann bei einer Maschinenanlage beinhalten, da/3 die Anlage 
abgeschaltet wird. Bei einem chemischen Produktionsprozel3 konn- 
te ein Abschalten jedoch unter Umstanden eine unkontrollierte 
Reaktion hervorrufen, so daB in einem solchen Fall der ProzeJ3 
besser in einen unkritischen Parameterbereich gefahren wird. 

Sicherheitskritische Prozesse konnen auch Teilprozesse von gro- 
Beren, iibergeordneten Gesamtprozessen sein. Bei einer hydrauli- 
schen Presse kann bspw. die Materialzuf uhrung ein nicht- 
sicherheitskritischer TeilprozeB, das Inbetriebnehmen des PreJ3- 
werkzeugs dagegen ein sicherheitskritischer TeilprozeB sein. 
Weitere Beispiele fiir sicherheitskritische (Teil- ) Prozesse sind 
die Uberwachung von Schutzgittern, Schutztiiren oder Licht- 
schranken, die Steuerung von Zwei-Hand-Schaltern oder die Uber- 
wachung und Auswertung eines Not-Aus-Schalters . 

Die an der Steuerung eines sicherheitskritischen Prozesses be- 
teiligten Einheiten miissen uber ihre eigentliche Funktion hin- 
ausgehende, sicherheitsbezogene Einrichtungen aufweisen, um von 
den zustandigen Auf sichtsbehorden fur sicherheitskritische Auf- 
gaben zugelassen zu werden. Diese Einrichtungen dienen vor al- 
lem der Fehler- und Funktionsuberwachung . In der Regel sind die 
beteiligten Einheiten redundant aufgebaut, um eine sichere 
Funktion auch bei Auftreten eines Fehlers zu gewahrleisten . 
Einheiten mit derartigen sicherheitsbezogenen Einrichtungen 



werden nachfolgend im Unterschied zu "normalen" Einheiten als 
sicher bezeichnet . 

Die an den Feldbus angeschlossenen Einheiten werden nachfolgend 
allgemein als Busteilnehmer bezeichnet. Bei einem Steuerungssy- 
stem zum sicheren Steuern von sicherheitskritischen Prozessen 
handelt es sich bei den Busteilnehmern iiblicherweise entweder 
um Steuerungseinheiten oder um Signaleinheiten . Als Steuerungs- 
einheit wird dabei ein Busteilnehmer bezeichnet , der eine ge- 
wisse Intelligenz zur Steuerung eines Prozesses besitzt. In der 
Fachterminologie werden derartige Busteilnehmer iiblicherweise 
als Clients bezeichnet. Sie erhalten Daten und/oder Signale, 
die Zustandsgr6I3en der gesteuerten Prozesse reprasentieren, und 
aktivieren in Abhangigkeit von diesen Inf ormationen Aktoren, 
die den zu steuernden ProzeJi beeinf lussen . iiblicherweise ist 
die Intelligenz in Form eines veranderbaren Anwenderprogramms 
in einem Speicher der Steuerungseinheiten abgelegt. In der Re- 
gel werden als Steuerungseinheiten sogenannte SPS (Speicher 
Programmierbare Steuerungen ) verwendet . 

Eine Signaleinheit ist demgegeniiber ein Busteilnehmer , der im 
wesentlichen Ein- und Ausgangskanale (E/A-Kanale) bereitstellt , 
an die einerseits Sensoren zur Aufnahme von ProzeJ3gr6!3en und 
andererseits Aktoren angeschlossen werden konnen. Die Si- 
gnaleinheiten besitzen in der Regel keine Intelligenz in Form 
eines veranderbaren Anwenderprogramms. Sie werden in der Fach- 
terminologie iiblicherweise als Server bezeichnet. 

Bei vielen Feldbussen, wie etwa dem CAN-Bus, ist es bekannt, 
den einzelnen Busteilnehmern eine individuelle Teilnehmeradres- 
se zuzuordnen. Die Teilnehmeradresse dient dazu f Bustelegramme 



mit zu iibertragenden Nachrichten gezielt von dem sendenden Bus- 
teilnehmer zu dem empfangenden Busteilnehmer zu ubermitteln. 
Beim Aufbau eines Steuerungssystems zum Steuern von sicher- 
heitskritischen Prozessen stellt die Vergabe der Teilnehmer- 
adressen an die Busteilnehmer eine sicherheitskritische MaBnah- 
me dar. Wenn namlich bspw. zwei verschiedene Signaleinheiten 
die Zustandsdaten von zwei verschiedenen Schutzgittern aufneh- 
men und an die Steuerungseinheit weitergeben, kann eine falsche 
AdreBzuordnung der beiden Signaleinheiten dazu fiihren, daB die 
Steuerungseinheit die Bewegung einer abzusichernden Maschine 
nicht abschaltet, obwohl das entsprechende Schutzgitter geoff- 
net wurde . 

Bei den bisher bekannten r gattungsgemaBen Steuerungssystemen 
bzw. den entsprechenden Verfahren zum Konf igurieren der siche- 
ren Busteilnehmer werden die Teilnehmeradressen direkt am Bus- 
teilnehmer eingestellt. Hierzu weist jeder Busteilnehmer entwe- 
der einen mechanischen Codierschalter , insbesondere einen Dreh- 
schalter, oder eine serielle Programmierschnittstelle auf. Ein 
Nachteil dieser Losung ist, daJ3 das Einstellen der Teilnehmer- 
adressen hier direkt am Ort des einzelnen Busteilnehmers erfol- 
gen muB. Bei komplexen Prozefisteuerungen im industriellen Be- 
reich konnen die einzelnen an den Feldbus angeschlossenen 
Busteilnehmer jedoch bis zu mehreren hundert Metern auseinan- 
derliegen. Beim Aufbau eines sicheren Steuerungssystems sind in 
diesem Fall daher groBe Laufwege erf orderlich, die das Einrich- 
ten und Konf igurieren umstandlich machen. 

Hinzu kommt, daB es aufgrund der groBen Laufwege in diesem Fall 
leicht moglich ist, den Uberblick zu verlieren, was zu fehler- 
haften AdreBzuordnungen fiihren kann. Ein weiterer wesentlicher 



Nachteil der bekannten Losungen ist, dafi beim Austausch eines 
defekten Busteilnehmers dessen Teilnehmeradresse bekannt sein 
muJ3, damit diese anschlietfend dem Austausch-Busteilnehmer zuge- 
ordnet werden kann. Bei industriellen Anlagen f die haufig rund 
um die Uhr betrieben werden , bedeutet dies, daJ3 iituner entspre- 
chend fachkundiges Personal verfiigbar sein mui3, um den Aus- 
tausch eines defekten Busteilnehmers vorzunehmen. In dem Fall, 
da!3 dem Busteilnehmer die Teilnehmeradresse mit Hilfe eines 
Programmiergerates uber die serielle Schnittstelle zugeordnet 
wird, ist auch stets das entsprechende Programmiergerat erfor- 
derlich . 

Bei der Zuordnung einer Teilnehmeradresse uber eine Program- 
mier schnittstelle besteht daruber hinaus der Nachteil, dai3 die 
dem Busteilnehmer zugeordnete Teilnehmeradresse von aui3en nicht 
zu erkennen ist. Hierdurch besteht die Gefahr, daJ3 ein Busteil- 
nehmer, der friiher einmal mit einer anderen Teilnehmeradresse 
verwendet wurde, bei seiner Verwendung in einer neuen Umgebung 
versehentlich mit seiner alten Teilnehmeradresse betrieben 
wird. Dieses Risiko ist besonders gro!3, wenn ein schon einmal 
verwendeter Busteilnehmer im Rahmen einer Wartung in ein ande- 
res Steuerungssystem integriert werden soil. 

Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren 
der eingangs genannten Art anzugeben, mit dem einem sicheren 
Busteilnehmer von einer zentralen Stelle aus auf einfache und 
gleichzeitig f ehlersichere Art und Weise eine Teilnehmeradresse 
zugeordnet werden kann. Es ist daruber hinaus Aufgabe der Er- 
findung, ein entsprechendes Steuerungssystem anzugeben. 



Diese Aufgabe wird durch ein Verfahren der eingangs genannten 
Art gelost f das folgende Schritte aufweist: 

Versenden eines ersten Anmeldetelegramms von dem sicheren 
Busteilnehmer zu einer an den Feldbus angeschlossenen Ver- 
waltungseinheit , wobei das erste Anmeldetelegramm eine 
festgelegte Universaladresse beinhaltet, 

Versenden eines AdreBvergabetelegramms von der Verwal- 
tungseinheit an den sicheren Busteilnehmer, wobei das 
AdreBvergabetelegramm die definierte Teilnehmeradresse be- 
inhaltet und 

Abspeichern der definierten Teilnehmeradresse in einem 
Speicher des sicheren Busteilnehmers . 

Die Aufgabe wird des weiteren durch ein Steuerungssystem der 
eingangs genannten Art gelost, bei dem der Busteilnehmer zweite 
Mittel aufweist, urn sich unter einer festgelegten Universal- 
adresse bei einer an den Feldbus angeschlossenen Verwaltungs- 
einheit anzumelden, sowie dritte Mittel, urn ein AdreBvergabete- 
legramm mit der Teilnehmeradresse aufzunehmen und auszuwerten. 

Mit dem genannten Verfahren ist es moglich, den zu konfigurie- 
renden Busteilnehmer zunachst ohne Zuordnung der individuellen 
Teilnehmeradresse an den Feldbus anzuschlieBen • Aufgrund der 
festgelegten Universaladresse kann sich dieser Busteilnehmer 
anschlieBend bei der genannten Verwaltungseinheit anmelden. Die 
Verwaltungseinheit ist bevorzugt eine zentrale Verwaltungsein- 
heit fur das gesamte Steuerungssystem. Im nachsten Schritt wird 
dem zu konf igurierenden Busteilnehmer von der Verwaltungsein- 
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heit die individuelle Teilnehmeradresse ubermittelt. Dies ge- 
schieht mit Hilfe eines speziellen AdreBvergabetelegramms , das 
die Verwaltungseinheit an den zu konf igurierenden Busteilnehmer 
versendet. Der angesprochene Busteilnehmer wertet das empfange- 
ne AdreBvergabetelegramm aus, indem er die ubermittelte Teil- 
nehmeradresse extrahiert und anschlieBend in einem Speicher ab- 
speichert. Bevorzugt speichert er die Teilnehmeradresse dabei 
in einem nicht-f luchtigen Speicher, wie bspw. einem EEPROM. 

Mit Hilfe dieses Verfahrens ist es moglich, dem sicheren Bus- 
teilnehmer von einer zentralen Stelle aus, namlich der Verwal- 
tungseinheit, die definierte Teilnehmeradresse zuzuordnen. Bei 
einem raumlich ausgedehnten Steuerungssystem entfallen daher 
die bisher erf order lichen, langen Laufwege. Darliber hinaus wird 
durch die Moglichkeit, samtliche Busteilnehmer von einer zen- 
tralen Stelle aus zu konf igurieren, der Uberblick erleichtert 
und so das Fehlerrisiko einer versehentlich falschen Adreflver- 
gabe verringert. Da zudem sowohl der sichere Busteilnehmer als 
auch die Verwaltungseinheit sicherheitsbezogene Einrichtungen 
aufweisen, kann die Ubertragung der definierten Teilnehmer- 
adresse trotz der an sich bestehenden Fehlermoglichkeiten des 
Bussystems auf f ehlersichere Weise erfolgen. 

Die genannte Aufgabe ist daher vollstandig gelost. 

In einer Ausgestaltung des Verfahrens versendet der sichere 
Busteilnehmer nach Empfang des Adreflvergabetelegramms ein zwei- 
tes Anmeldetelegramm an die Verwaltungseinheit, wobei das zwei- 
te Anmeldetelegramm die definierte Teilnehmeradresse beinhal- 
tet . 
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Diese MaBnahme besitzt den Vorteil, daB die Verwaltungseinheit 
liberprufen kann, ob der sichere Busteilnehmer die zugeordnete 
Teilnehmeradresse nicht nur fehlerfrei empfangen, sondern auch 
fehlerfrei verarbeitet hat, Hierdurch wird die Sicherheit der 
AdreBzuordnung nochmals erhoht. Anschaulich gesprochen bedeutet 
die genannte MaBnahme, daB sich der sichere Busteilnehmer nach 
Erhalt der ihm zugeordneten Teilnehmeradresse ein zweites Mai 
bei der Verwaltungseinheit anmeldet. Die MaBnahme besitzt dar- 
uber hinaus den weiteren Vorteil, daB aus Sicht der Verwal- 
tungseinheit die Universaladresse eindeutig wieder freigegeben 
ist. Somit steht sie einem anderen Busteilnehmer zur Benutzung 
zur Verfiigung, ohne daB es zu Mehrdeutigkeiten hinsichtlich des 
betroffenen Busteilnehmers kommen kann. 

In einer weiteren Ausgestaltung der Erfindung versendet der si- 
chere Busteilnehmer das erste Anmeldetelegramm erst nach Emp- 
fang eines definierten Wartungstelegramms an die Verwaltungs- 
einheit • 

Diese MaBnahme besitzt den Vorteil, daB die Verwaltungseinheit 
stets die Kontrolle viber das Geschehen am Feldbus behalt. Es 
ist hiernach ausgeschlossen, daB sich ein neuer, zu konfigurie- 
render Busteilnehmer von sich aus in das Geschehen am Feldbus 
einmischt, ohne hierzu von der Verwaltungseinheit eine Freigabe 
erhalten zu haben. Auch hierdurch wird die Sicherheit des 
Steuerungssystems verbessert, da eine zentrale Kontrolle ge- 
wahrleistet ist . 

In einer bevorzugten Ausgestaltung dieser MaBnahme versendet 
der sichere Busteilnehmer das erste Anmeldetelegramm nur nach 
dem erstmaligen Empfang des definierten Wartungstelegramms an 
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die Verwaltungseinheit , wahrend er bei einem wiederholten Emp- 
fang des definierten Wartungstelegramms das zweite Anmeldetele- 
grairati versendet. 

Diese MaBnahme besitzt den Vorteil, daB das Wartungstelegramm 
als sogenanntes Broadcast-Telegramm jeweils gleichzeitig an al- 
le an den Feldbus angeschlossenen Busteilnehmer gemeinsam ver- 
sendet werden kann. Hierdurch vereinfacht sich das erfindungs- 
gemaBe Verfahren, da die Anmeldung des neuen, zu konf igurieren- 
den Busteilnehmers nicht von bereits angemeldeten und konfigu- 
rierten Busteilnehmern gestort oder verzogert wird. Es ist 
hierdurch auch moglich, das erf indungsgemaBe Verfahren mit we- 
sentlich weniger Verf ahrensschritten durchzuf iihren . Der erstma- 
lige Empfang kann sich je nach der konkreten Realisierung des 
erf indungsgemaBen Verfahrens auf den erstmaligen Empfang nach 
jedem Einschalten des Steuerungssystems beziehen. Bevorzugt be- 
zieht er sich jedoch auf den erstmaligen Empfang nach dem An- 
schluB des Busteilnehmers an den Feldbus, 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen 
wird das definierte Wartungstelegramm nur nach Aktivieren eines 
besonderen Wartungsmodus der Verwaltungseinheit versendet. 

Die Aktivierung des besonderen Wartungsmodus erfolgt bevorzugt 
durch die Betatigung eines Schlusselschalters oder eines Code- 
schlosses, das mit der Verwaltungseinheit verbunden ist. Der 
besondere Wartungsmodus der Verwaltungseinheit unterscheidet 
sich von alien anderen Betriebsmodi der Verwaltungseinheit dar- 
in, daB nur in diesem Wartungsmodus das definierte Wartungste- 
legramm versendet wird. Die Mai3nahme besitzt den Vorteil f daB 
die Zuordnung von Teilnehmeradressen nur nach einem bewuBten 
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Eingriff in das sichere Steuerungssystem moglich ist. Hierdurch 
wird eine versehentliche Vergabe von Teilnehmeradressen verhin- 
dert. Infolge dessen ist das Risiko einer falschen Zuordnung 
von Teilnehmeradressen betrachtlich reduziert. 

In einer weiteren Ausgestaltung der zuvor genannten MaJ3nahme 
beendet die Verwaltungseinheit den besonderen Wartungsmodus au- 
tomatisch nach Empfang des zweiten Anmeldetelegramms . 

Auch diese MaBnahme tragt erheblich dazu bei, das Risiko einer 
fehlerhaften AdreJ3zuordnung zu minimieren , da der besondere 
Wartungsmodus in diesem Fall nur fur jeweils eine einzige 
Adreflzuordnung aktiviert werden kann. Es ist hiernach also fur 
jede Zuordnung einer Teilnehmeradresse der erneute, bewuBte 
Eingriff in das sichere Steuerungssystem notwendig. Die Sicher- 
heit des Systems wird hierdurch nochmals betrachtlich verbes- 
sert . 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen 
wird der Verwaltungseinheit zu Beginn des besonderen Wartungs- 
modus die definierte Teilnehmeradresse ubermittelt. 

Alternativ zu dieser Maflnahme ist es moglich , daJ3 die Verwal- 
tungseinheit die definierte Teilnehmeradresse selbstandig aus 
einem Speicher ausliest und somit den einzelnen Busteilnehmern 
der Reihe nach Teilnehmeradressen aus einer Liste von Teilneh- 
meradressen zuordnet. Die zuvor genannte Maflnahme besitzt dem- 
gegeniiber den Vorteil, da£ fur die Zuordnung jeder individuel- 
len Teilnehmeradresse erneut eine bewuBte Handlung desjenigen 
erf order lich ist f der die Konf iguration der Busteilnehmer 
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durchfiihren mochte. Auch hierdurch wird die Sicherheit der 
AdreBzuordnung betrachtlich erhoht. 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahme 
erzeugt die Verwaltungseinheit ein Fehlersignal , wenn die iiber- 
mittelte Teilnehmeradresse bereits an einen an den Feldbus an- 
geschlossenen Busteilnehmer vergeben ist. 

Auch diese MaBnahme tragt zur Vermeidung einer fehlerhaften 
Adrefizuordnung bei, da hierdurch die mehrfache Zuordnung einer 
Teilnehmeradresse an verschiedene Busteilnehmer zuverlassig 
verhindert ist . 

In einer weiteren Ausgestaltung der Erfindung versendet die 
Verwaltungseinheit Wartungstelegramme in definierten Zeitab- 
standen an alle an den Feldbus angeschlossenen Busteilnehmer. 

Diese MaBnahme steht im Gegensatz dazu, daB ein Wartungstele- 
gramm jeweils nur nach einer individuellen Aktivierung eines 
besonderen Wartungsmodus versendet werden kann. Die genannte 
MaBnahme besitzt demgegeniiber den Vorteil, daB der AnschluB ei- 
nes neuen Busteilnehmers im laufenden Betrieb des Steuerungssy- 
stems auf sehr einfache und komfortable Weise moglich ist. Die 
Teilnehmeradresse kann hierbei entweder von der Verwaltungsein- 
heit automatisch aus einer Liste von moglichen Teilnehmeradres- 
sen ausgewahlt werden Oder sie kann der Verwaltungseinheit vor 
dem AnschlieBen des neuen Busteilnehmers libermittelt werden. 

Eine weitere Ausgestaltung des erf indungsgema!3en Verfahrens ist 
durch die folgenden Schritte gekennzeichnet : 
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Uberprufen der Anwesenheit aller aktiv an den Feldbus an- 
geschlossenen Busteilnehmer anhand einer Sollkonf iguration 
von Busteilnehmern sowie anhand von Antworttelegrammen der 
Busteilnehmer und 

- Versenden der Teilnehmeradresse eines als nicht mehr aktiv 
erkannten Busteilnehmers als definierte Teilnehmeradresse. 

Diese Ausgestaltung der Erfindung ist besonders vorteilhaft im 
Hinblick auf Wartungsarbeiten an einem bereits eingerichteten, 
sicheren Steuerungssystem. Mit der bekannten MaBnahme ist es 
namlich auf einfache Weise moglich, einen defekten Busteilneh- 
mer durch einen neuen Busteilnehmer auszutauschen, ohne daB dem 
neuen Busteilnehmer hierbei bewuJ3t eine Teilnehmeradresse zuge- 
ordnet werden mu!3 . Die Verwaltungseinheit priift in dieser Aus- 
gestaltung des Verfahrens namlich laufend, ob alle bei ihr an- 
gemeldeten Busteilnehmer aktiv am Feldbus angeschlossen sind. 
Fehlt ein einzelner Busteilnehmer, so deutet dies auf einen De- 
fekt oder darauf hin, daB dieser Busteilnehmer bereits vom 
Feldbus abgetrennt wurde. Aufgrund der bekannten Sollkonf igura- 
tion kann die Verwaltungseinheit die Teilnehmeradresse dieses 
fehlenden Busteilnehmers identif izieren . Sobald sich bei der 
Verwaltungseinheit dann ein neuer Busteilnehmer unter der fest- 
gelegten Universaladresse anmeldet, wird diesem die Teilnehme- 
radresse des fehlenden Busteilnehmers zugeordnet. Auf diese 
Weise ist der Austausch eines defekten Busteilnehmers moglich, 
ohne daJ3 dem neuen Busteilnehmer die alte Teilnehmeradresse von 
Hand zugeordnet werden muB. Besonders bevorzugt wird diese Aus- 
gestaltung der Erfindung damit kombiniert, daB das definierte 
Wartungstelegramm nur nach Aktivieren eines besonderen War- 
tungsmodus der Verwaltungseinheit versendet wird. In dieser 



14 



Kombination ist namlich einerseits eine sehr groBe Sicherheit 
beziiglich der Zuordnung einer Teilnehmeradresse gegeben, wah- 
rend andererseits ein defekter Busteilnehmer sehr einfach und 
ohne Fachkenntnisse ausgetauscht werden kann. Dies ist beson- 
ders vorteilhaft im Hinblick auf Produktionsanlagen, die rund 
um die Uhr betrieben werden. 

In einer weiteren Ausgestaltung der Erfindung erzeugt die Ver- 
waltungseinheit ein Fehlersignal, wenn mehr als ein Busteilneh- 
mer das erste Anmeldetelegramm versendet. 

Auch diese MaJ3nahme besitzt den Vorteil, daB die Sicherheit er- 
hoht wird, da in diesem Fall die gleichzeitige Zuordnung einer 
Teilnehmeradresse an mehrere Busteilnehmer verhindert ist. 

In einer weiteren Ausgestaltung der Erfindung werden zumindest 
das erste Anmeldetelegramm sowie das AdreBvergabetelegramm mit 
jeweils einem Quittungstelegramm beantwortet. 

Diese MaBnahme zielt darauf ab, daB der Empf anger der genannten 
Telegramme unabhangig von deren eigentlicher Verarbeitung ein 
Quittungstelegramm an den Absender zuriickschickt . Hierdurch 
wird ebenfalls die Sicherheit der AdreBzuordnung betrachtlich 
erhoht, da der Absender auf diese Weise uberpriifen kann, ob der 
Empf anger das jeweilige Telegram fehlerfrei erhalten hat. 

Es versteht sich, daB die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 
angegebenen Kombination , sondern auch in anderen Kombinationen 
Oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 



15 



Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung 
dargestellt und werden in der nachf olgenden Beschreibung naher 
erlautert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Steuerungssy- 
stems zum sicheren Steuern von sicherheitskritischen 
Prozessen, 

Fig. 2 den Kommunikationsablauf zwischen einer Verwaltungs- 
einheit und zwei Busteilnehmern bei einem ersten 
Ausf iihrungsbeispiel der Erfindung und 

Fig. 3 den Kommunikationsablauf zwischen der Verwaltungs- 
einheit und den beiden Busteilnehmern bei weiteren 
Ausf uhrungsbeispielen der Erfindung. 

In Fig. 1 ist ein Steuerungssystem zum sicheren Steuern von si- 
cherheitskritischen Prozessen in seiner Gesamtheit mit der Be- 
zugsziffer 10 bezeichnet. 

Das Steuerungssystem 10 besitzt zwei sichere Steuerungseinhei- 
ten 12 und 14, die iiber einen Feldbus 16 mit insgesamt vier si- 
cheren Signaleinheiten 18 , 20, 22 und 24 verbunden sind. Die 
Steuerungseinheiten 12, 14 und die Signaleinheiten 18 bis 24 
sind Busteilnehmer im Sinne der vorliegenden Erfindung. 

Jede der sicheren Signaleinheiten 18 bis 24 weist mehrere E/A- 
Kanale auf, liber die sie mit jeweils einem sicherheitskriti- 
schen ProzeB 28, 30, 32 verbunden ist. Im vorliegenden Fall 
sind die sicheren Signaleinheiten 18 und 20 mit dem Prozeii 28 
verbunden, wahrend die Signaleinheit 22 mit dem ProzeB 30 und 
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die Signaleinheit 24 mit dem ProzeJ3 32 verbunden ist. Bei dem 
sicherheitskritischen ProzeJ3 28 handelt es sich bspw. urn die 
Zwei-Hand-Steuerung einer Maschinenanlage , bei der auflerdem 
auch die Drehzahl einer hier nicht dargestellten Maschinenwelle 
uberwacht wird. Der sicherheitskritische ProzeJ3 30 ist bspw. 
die Uberwachung eines Not-Aus-Schalters und der sicherheitskri- 
tische ProzeJ3 32 die Uberwachung eines Schutzgitters (hier 
ebenfalls nicht dargestellt ) . 

Die Signaleinheiten 18 bis 24 lesen uber ihre E/A-Kanale 26 Si- 
gnale und/oder Datenwerte der sicherheitskritischen Prozesse 28 
bis 32 ein. Derartige Signale bzw. Datenwerte sind bspw. die 
aktuelle Drehzahl der Maschinenwelle und die Schalterstellung 
des Not-Aus-Schalters . Andererseits konnen die Signaleinheiten 
18 bis 24 uber die E/A-Kanale 26 auf hier nicht dargestellte 
Aktoren einwirken, mit denen die sicherheitskritischen Prozesse 
28 bis 32 beeinfluBt werden. So gehort bspw. zu dem sicher- 
heitskritischen ProzeJ3 30 , bei dem die Schalterstellung des 
Not-Aus-Schalters uberwacht wird, ein Aktor, mit dem die Strom- 
versorgung der gesteuerten und uberwachten Maschinenanlage ab- 
geschaltet werden kann. 

Die sicheren Steuerungseinheiten 12 und 14 sind SPS- 
Steuerungen. Sie sind hier vom Grundsatz her gleich zueinander 
aufgebaut und unterscheiden sich im wesentlichen durch ver- 
schiedenen Anwendungsprogramme, die auf ihnen ausgeflihrt wer- 
den . 

Bei der nachf olgenden Erlauterung der Steuerungseinheiten 12, 
14 bzw. der Signaleinheiten 18 bis 24 sind die jeweils genann- 
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ten Bezugszeichen in Fig. 1 aus Griinden der Ubersichtlichkeit 
nur einfach aufgefiihrt. 

Die Steuerungseinheiten 12, 14 beinhalten jeweils einen siche- 
ren Verarbeitungsteil 34, der in Fig. 1 oberhalb der strich- 
punktierten Linie 36 dargestellt ist. Unterhalb der Linie 36 
befindet sich ein nicht-sicherer Teil 38, der im wesentlichen 
einen als Buscontroller bezeichneten Baustein 4 0 enthalt. Der 
Buscontroller 40 ist ein Standard-Baustein, in dem das Stan- 
dard-Protokoll des verwendeten Feldbusses 16 implement iert ist. 
Der Buscontroller 40 ist in der Lage, das Versenden und Empfan- 
gen von Nachrichten in Form von Telegrammen eigenstandig abzu- 
wickeln. Die zu versendenden Nachrichten erhalt der Buscontrol- 
ler 40 von dem sicheren Verarbeitungsteil 34. Umgekehrt stellt 
der Buscontroller 40 empfangene Nachrichten dem sicheren Verar- 
beitungsteil 34 zur Verfugung. 

Entsprechend einer bevorzugten Ausfuhrung der Erfindung handelt 
es sich bei dem Feldbus 16 hier um einen CAN-Bus . Bei diesem 
Bus werden die zu versendenden Nachrichten innerhalb eines 
Nutzdatenf eldes ubertragen, das fur seinen Weg iiber den Feldbus 
16 mit zusatzlichen Steuerungsinf ormationen erganzt wird. Das 
gesamte Paket aus Steuerungsinf ormationen und Nutzdatenf eld 
bildet das Bustelegramm. Der Buscontroller 4 0 ist in der Lage, 
Nachrichten, die er von dem sicheren Verarbeitungsteil 34 er- 
halt, selbstandig in der dem Protokoll entsprechenden Form in 
die zu versendenden Bustelegramme einzubetten. Umgekehrt kann 
er bei einem empfangenen Bustelegramme die im Nutzdatenf eld 
enthaltenen Nachrichten extrahieren. 
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Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12 , 14 
ist zweikanalig-redundant aufgebaut. Jeder der beiden Kanale 
enthalt im wesentlichen einen Prozessor 42a, 42b mit jeweils 
zugehoriger Peripherie, mit dem ein Anwendungsprogramm 44a , 4 4b 
ausgefiihrt wird. In dem Anwendungsprogramm 44a , 44b ist die 
Steuerung der Maschinenanlage und damit die Intelligenz der 
Steuerungseinheiten 12, 14 niedergelegt . 

Die beiden Prozessoren 42a, 4 2b fiihren sicherheitsrelevante 
Aufgaben redundant zueinander aus . Dabei kontrollieren sie sich 
gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt 
ist. Die sicherheitsrelevanten Aufgaben beinhalten bspw. MaJ3- 
nahmen zur Fehlersicherung von ubertragenen bzw. versendeten 
Nachrichten. Diese MaBnahmen erfolgen zusatzlich und in Ergan- 
zung zu Fehlersicherungsmaflnahmen , die bereits standardma!3ig 
von dem Buscontroller 4 0 durchgefiihrt werden. Hierdurch ist es 
moglich, die Fehlerwahrscheinlichkeit gegeniiber dem an sich 
nicht-sicheren Feldbus 16 betrachtlich zu erhohen. 

Die Signaleinheiten 18 bis 24 sind uber den gleichen Buscon- 
troller 40 an den Feldbus 16 angeschlossen wie die sicheren 
Steuerungseinheiten 12, 14. Dementsprechend ist der Teil 48 
oberhalb der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne 
der vorliegenden Erfindung. In dem sicheren Verarbeitungsteil 
unterhalb der Linie 50 ist jede Signaleinheit 18 bis 24 wieder- 
um zweikanalig-redundant aufgebaut. Die beiden redundanten Ver- 
arbeitungskanale sind wiederum in der Lage, eine gegenseitige 
Fehleriiberwachung durchzuf lihren . 

Jeder der Verarbeitungskanale der Signaleinheiten 18 bis 24 be- 
sitzt einen Prozessor 54a, 54b sowie ein Schaltmittel 56a, 56b. 
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Mit den Bezugszif f ern 58a, 58b ist jeweils ein Speicher be- 
zeichnet, in dem einerseits eine festgelegte Universaladresse 
abgelegt ist und in dem die Prozessoren 54a, 54b andererseits 
eine zugeordnete Teilnehmeradresse abspeichern konnen . In Ver- 
bindung mit dem Buscontroller 40 ist jede Signaleinheit 18 bis 
24 daher in der Lage, sich unter der f estgelegten Universal- 
adresse bei einer an dem Feldbus angeschlossenen Verwaltungs- 
einheit anzumelden bzw. umgekehrt ein AdreJ3vergabetelegramm mit 
einer zugeordneten Teilnehmeradresse aufzunehmen und auszuwer- 
ten. Dieselbe Fahigkeit besitzen auch die sicheren Steuerungs- 
einheiten 12, 14, wenngleich dies in Fig. 1 nicht explizit dar- 
gestellt ist. 

Die Schaltmittel 56a, 56b versetzen die Signaleinheiten 18 bis 
24 in die Lage, die hier nicht dargestellten Aktoren zur Beein- 
flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti- 
vieren. Damit sind die sicheren Signaleinheiten 18 bis 24 in 
der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen 
sicheren Zustand zu uberfuhren, wie bspw. bei einer Betatigung 
des Not-Aus-Schalters die Maschinenanlage abzuschalten . 

Mit der Bezugszif fer 70 ist in Fig. 1 die bereits erwahnte Ver- 
waltungseinheit bezeichnet, die in der Fachterminologie auch 
als "Management Device" bezeichnet wird. Die Verwaltungseinheit 
70 ist ebenfalls iiber einen Buscontroller 40 an den Feldbus 16 
angeschlossen . Sie kann daher mit den ubrigen an den Feldbus 16 
angeschlossenen Einheiten kommunizieren . An der Steuerung der 
sicherheitskritischen Prozesse 28 bis 32 ist sie jedoch nicht 
unmittelbar beteiligt . 
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In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein- 
heit 70 im wesentlichen zwei zueinander redundante Speicher 
72a, 72b, in denen unter anderem die gesamte Konf iguration des 
Steuerungssystems 10, insbesondere die Zuordnung der definier- 
ten Teilnehmeradressen an die Busteilnehmer 12, 14 bzw. 18 bis 
24 abgelegt ist. Die Verwaltungseinheit 70 besitzt eine zentra- 
le Verwaltungs- und Uberwachungsf unktion, die unabhangig von 
der Steuerung der Prozesse 28 bis 32 ablauft. Beispielsweise 
initiiert die Verwaltungseinheit 70 in regelmafiigen Zeitinter- 
vallen eine Verbindungspruf ung zwischen den Steuerungseinheiten 
12, 14 und den Signaleinheiten 18 bis 24. Dabei uberpruft die 
Verwaltungseinheit 70 durch Versenden eines Verbindungspruf te- 
legramms an die Steuerungseinheiten 12, 14, ob die Verbindung 
zu diesen Steuerungseinheiten fehlerfrei f unktioniert . Als Re- 
aktion auf dieses Priif telegramm versenden die Steuerungseinhei- 
ten 12, 14 ihrerseits Priif telegramme an die ihnen zugeordneten 
Signaleinheiten 18 bis 24. Die Verwaltungseinheit 70 uberwacht 
dabei den gesamten Datenverkehr und erhalt hierdurch in regel- 
maBigen Zeitintervallen eine Information dariiber, ob imitier noch 
alle ihr bekannten Busteilnehmer aktiv am Feldbus 16 ange- 
schlossen sind. Bei Ausbleiben eines erwarteten Priif telegramms 
Oder auch beim Ausbleiben eines erwarteten Antwortte legramms 
erzeugt die Verwaltungseinheit ein Fehlertelegramm, aufgrund 
dessen die sicherheitskritischen Prozesse 28 bis 32 in ihren 
sicheren Zustand iiberfiihrt werden. 

Alternativ zu dem hier dargestellten Ausf iihrungsbeispiel kann 
die Verwaltungseinheit 70 auch in einer der Steuerungseinheiten 
12, 14 integriert sein. In diesem Fall stellt die Verwaltungs- 
einheit 7 0 einen Funktionsblock innerhalb der Steuerungseinheit 
12, 14 dar. In einem weiteren, hier ebenfalls nicht dargestell- 
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ten Ausf uhrungsbeispiel besitzt das Steuerungssystem 10 nur ei- 
ne Steuerungseinheit 12. 

Mit der Bezugsziffer 80 ist beispielhaft ein Bustelegramm be- 
zeichnet, das zwischen zwei Busteilnehmern liber den Feldbus 16 
ubertragen wird. Das Bustelegramm 80 weist dem verwendeten, 
standardisierten Protokoll entsprechend ein AdreBfeld 82 sowie 
ein Nutzdatenf eld 84 auf. Zudem konnen weitere, hier nicht dar- 
gestellte Steuerungsinf ormationen in dem Bustelegramm 80 ent- 
halten sein. 

In der Darstellung in Fig. 1 ist jeder der an den Feldbus 16 
angeschlossenen Einheiten eine individuelle , definierte Teil- 
nehmeradresse 90 zugeordnet, die bei der Steuerungseinheit 14 
beispielhaft mit "2" angenommen ist. Die Verwaltungseinheit 70 
besitzt hiernach die definierte Teilnehmeradresse M 0" und die 
Signaleinheit 18 beispielhaft die Teilnehmeradresse "3". Dar- 
iiber hinaus ist in jeder Einheit eine festgelegte Universal- 
adresse 92 abgelegt, die in Fig. 1 symbolisch als M xy" darge- 
stellt ist. Es versteht sich f dafl sowohl die Teilnehmeradresse 
90 als die Universaladresse 92 jeweils als Datenwert in einem 
Speicher der einzelnen Einheiten abgelegt ist. 

In Fig. 2 ist am Beispiel der Verwaltungseinheit 70 , der siche- 
ren Steuerungseinheit 12 sowie der sicheren Signaleinheit 18 
der zeitliche Ablauf der Kommunikation beim Konf igurieren der 
Signaleinheit 18 dargestellt. Dabei verlauft eine Zeitachse in 
Richtung des Pfeils 100. Die einzelnen Telegramme, die zwischen 
den verschiedenen Einheiten versendet werden, sind anhand von 
Pfeilen symbolisiert , deren Ausgangspunkt beim Absender mit ei- 
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nem Punkt versehen ist und deren Endpunkt jeweils auf den Emp- 
f anger verweist. 

In dem ersten Zeitabschnitt in Fig. 2 ist die sichere Si- 
gnaleinheit 18 noch nicht am Feldbus 16 angeschlossen . Sie ist 
daher in diesem Zeitabschnitt nur gestrichelt dargestellt. Die 
Verwaltungseinheit 70 versendet in regelmaBigen Zeitabstanden 
ein Verbindungspriif ungstelegramm 102 an die Steuerungseinheit 
12. Diese antwortet daraufhin mit einem Antworttelegramm 104. 
Der Eingang des Antworttelegramms 104 innerhalb einer vorgege- 
benen Zeitspanne wird von der Verwaltungseinheit 7 0 uberwacht. 
Infolge dessen ist die Verwaltungseinheit 70 in der Lage, die 
tatsachliche Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Einheiten mit der Sollanzahl gemaJ3 einer Sollkonf iguration zu 
vergleichen. Nach Ablauf der festgelegten Zeitspanne wiederholt 
sich der Vorgang, d.h. die Verwaltungseinheit 7 0 versendet er- 
neut das Verbindungspriif ungstelegramm 102 und empfangt das Ant- 
worttelegramm 104 . 

Nun sei angenommen, da3 die Signaleinheit 18 neu an den Feldbus 
16 angeschlossen werden soli. Dementsprechend mui3 die Sig- 
naleinheit 18 konfiguriert werden, wobei ihr eine definierte 
Teilnehmeradresse 90 zugeordnet wird. Gemafi dem hier darge- 
stellten Ausf uhrungsbeispiel der Erfindung wird die Verwal- 
tungseinheit 70 zunachst in einen besonderen Wartungsmodus ver- 
setzt. Dies geschieht bei dem bevorzugten Ausf uhrungsbeispiel 
mit Hilfe eines Schliisselschalters , der an der Verwaltungsein- 
heit 7 0 angeordnet ist. Die Aktivierung des besonderen War- 
tungsmodus ist in Fig. 2 anhand der Linie 106 symbolisiert . 
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Nach der Aktivierung des besonderen Wartungsmodus wird der Ver- 
waltungseinheit 70 mit Hilfe eines Eingabegerates 108 die defi- 
nierte Teilnehmeradresse 90 ubermittelt , die der Signaleinheit 
18 zugeordnet werden soli. AnschlieJ3end versendet die Verwal- 
tungseinheit 70 ein definiertes Wartungstelegramm 110, das sich 
von dem Verbindungspruf ungstelegramm 102 im normalen Betriebs- 
modus der Verwaltungseinheit 70 unterscheidet . Die bereits an 
den Feldbus 16 angeschlossene Steuerungseinheit 12 antwortet 
auf den Empfang des Wartungstelegramms 110 mit einem Anmeldete- 
legramm 112, das die definierte Teilnehmeradresse der Steue- 
rungseinheit 12, hier also beispielhaft die Teilnehmeradresse 
"1", beinhaltet. Das Anmeldetelegramm 112 ist somit das zweite 
Anmeldetelegramm im Sinne der vorliegenden Erfindung. GemaJ3 ei- 
ner bevorzugten Ausflihrung der Erfindung ist das Anmeldetele- 
gramm 112 der Steuerungseinheit 12 mit dem zuvor erwahnten Ant- 
worttelegramm 104 identisch. Dies ist jedoch zur Durchfuhrung 
des Verfahrens nicht unbedingt notwendig. 

Der Versand des Wartungstelegramms 110 bzw. der Empfang des 
zweiten Anmeldetelegramms 112 wiederholt sich zyklisch. Wahrend 
dieser Zeit ist es moglich, die sichere Signaleinheit 18 an den 
Feldbus 16 anzuschlieJ3en . Nachdem dies geschehen ist, empfangt 
die Signaleinheit 18 ebenso wie die Steuerungseinheit 12 das 
Wartungstelegramm 110, Wahrend die Steuerungseinheit 12 auf 
dieses Wartungstelegramm 110, wie zuvor beschrieben , mit dem 
zweiten Anmeldetelegramm 112 antwortet, versendet die Si- 
gnaleinheit 18 als Antwort auf den erstmaligen Empfang des War- 
tungstelegramms 110 ein erstes Anmeldetelegramm 114, das die 
festgelegte Universaladresse "xy" beinhaltet. Die Verwaltungs- 
einheit 70 empfangt das erste Anmeldetelegramm 114 und versen- 
det ein Quittungstelegramm 116 an die Signaleinheit 18. An- 
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schlieJ3end versendet die Verwaltungseinheit 7 0 ein Adreflverga- 
betelegramm 118, in dessen Nutzdatenf eld die definierte Teil- 
nehmeradresse "3" enthalten ist. Die Signaleinheit 18 quittiert 
den Empfang des AdreBvergabetelegramms 118 mit einem Quit- 
tungstelegramm 116. Anschliei3end legt die Signaleinheit 18 die 
definierte Teilnehmeradresse "3" in einem Speicher 120 ab. 

Nachdem die Verwaltungseinheit 70 das Quittungstelegramm 116 
von der Signaleinheit 18 empfangen hat, versendet sie erneut 
das Wartungstelegramm 110. Daraufhin meldet sich die Steue- 
rungseinheit 12, wie ublich, mit dem zweiten Anmeldetelegramm 
112 bei der Verwaltungseinheit 70 an. Daruber hinaus meldet 
sich nun jedoch auch die Signaleinheit 18 mit ihrem zweiten An- 
meldetelegramm 112 bei der Verwaltungseinheit 70 an. In diesem 
Fall enthalt das zweite Anmeldetelegramm 112 die Teilnehme- 
radresse M 3" , die der Signaleinheit 18 zugeordnet wurde . Die 
Verwaltungseinheit 70 quittiert den Empfang des zweiten Anmel- 
detelegramms 112 mit einem Quittungstelegramm 116. 

Nach dem Ablauf des beschriebenen Telegrammverkehrs ist die Si- 
gnaleinheit 18 im Sinne der vorliegenden Erfindung konfigu- 
riert. Gema3 dem bevorzugten Ausf uhrungsbeispiel der Erfindung 
beendet die Verwaltungseinheit 7 0 daher automatisch den beson- 
deren Wartungsmodus , was anhand der Linie 122 angedeutet ist. 
Sodann findet wiederum der bereits beschriebene, normale Daten- 
verkehr zwischen der Verwaltungseinheit 70 und den an den Feld- 
bus 16 angeschlossenen Einheiten 12, 18 statt . Hierbei versen- 
det die Verwaltungseinheit 70 in zyklischen Zeitabstanden das 
Verbindungspriif ungstelegramm 102 und empfangt die Antworttele- 
gramme 104. 
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Abweichend von dem hier dargestellten Ablauf beendet die Ver- 
waltungseinheit 70 in einem anderen Ausf iihrungsbeispiel der Er- 
findung den besonderen Wartungsmodus bereits nach dem Abspei- 
chern der zugeordneten Adresse in der Signaleinheit 18. In die- 
sem Fall meldet sich die Signaleinheit 18 mit dem zweiten An- 
meldetelegramm 112 erst: wieder im normalen Betriebsmodus der 
Verwaltungseinheit 70 bei dieser an. 

Aus Griinden der Ubersichtlichkeit wurde der Versand des Quit- 
tungstelegramms 116 hier nur in Bezug auf die zu konf igurieren- 
de Signaleinheit 18 erwahnt. Abweichend hiervon wird bei dem 
bevorzugten Ausf iihrungsbeispiel des Steuerungssystems 10 jedoch 
jedes versendete Telegramm mit einem Quittungstelegramm 116 be- 
antwortet. Das Ausbleiben des Quittungstelegramms 116 fiihrt au- 
tomatisch zur Erzeugung einer Fehlermeldung. 

Fig. 3 zeigt den Ablauf des erf indungsgemaJ3en Verfahrens bei 
einem Austausch der Signaleinheit 18. Auch hierbei befindet 
sich die Verwaltungseinheit 70 zunachst in ihrem normalen Be- 
triebsmodus, in dem sie in zyklischen Zeitabstanden Verbin- 
dungspriif ungstelegramme 102 an samtliche an den Feldbus 16 an- 
geschlossenen Einheiten versendet. Die angeschlossenen Einhei- 
ten, in diesem Fall die Steuerungseinheit 12 und die Signalein- 
heit 18, antworten mit entsprechenden Antworttelegrammen 104. 
Aufgrund dieser Antworttelegramme ist die Verwaltungseinheit 7 0 
iiber die Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Einheiten 12 f 18 informiert. 

Zum Austausch der Signaleinheit 18 wird zunachst die Verwal- 
tungseinheit 70 in den besonderen Wartungsmodus versetzt. Dies 
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ist anhand der Linie 106 dargestellt. Zuvor wurde die auszutau- 
schende Signaleinheit 18 vom Feldbus 16 abgetrennt. 

In dem besonderen Wartungsmodus versendet die Verwaltungsein- 
heit 70, wie erlautert, ein definiertes Wartungstelegramm 110/ 
das jedoch die Signaleinheit 18 nicht mehr erreicht. Dies ist 
in Fig. 3 anhand des gestrichelten Pfeils 123 dargestellt. Die 
Steuerungseinheit 12 antwortet wie iiblich mit dem zweiten An- 
meldetelegramm 112 auf den Empfang des Wartungstelegramms 110. 
Das zweite Anmeldetelegramm der Signaleinheit 18 bleibt hinge- 
gen aus, was durch den gestrichelten Pfeil 124 dargestellt ist. 
Die Verwaltungseinheit 7 0 kann daher erkennen, da£ die Si- 
gnaleinheit 18 nicht mehr aktiv an den Feldbus 16 angeschlossen 
ist. Sie speichert daher die definierte Teilnehmeradresse "3", 
die der Signaleinheit 18 zugeordnet war, in einem Speicher 126. 
AnschlieJ3end versendet sie das Wartungstelegramm 110 erneut in 
zyklischen Zeitabstanden . Die Steuerungseinheit 12 antwortet 
hierauf, wie erlautert, mit dem zweiten Anmeldetelegramm 112. 

Nun kann die Signaleinheit 18 oder ein entsprechendes Aus- 
tauschgerat an den Feldbus 16 angeschlossen werden. 

Sobald die neu angeschlossene Signaleinheit 18 das Wartungste- 
legramm 110 empfangt, versendet sie das erste Anmeldetelegramm 
114, in dem die festgelegte Universaladresse "xy M enthalten 
ist. Die neue Signaleinheit 18 meldet sich hierdurch bei der 
Verwaltungseinheit 70 unter der festgelegten Universaladresse 
"xy" an. Die Verwaltungseinheit 70 quittiert den Empfang des 
ersten Anmeldetelegramms 114, wie bereits erlautert, mit einem 
Quittungstelegramm 116 und versendet anschlieBend das AdreJBver- 
gabetelegramm 118. Dieses enthalt nun die definierte Teil- 
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nehmeradresse "3", die die Verwaltungseinheit 70 zuvor in den 
Speicher 126 abgelegt hat. Die Signaleinheit 18 quittiert den 
Empfang des AdreBvergabetelegramms 118 mit einem Quittungstele- 
gramm 116 und speichert die zugeordnete Teilnehmeradresse "3" 
in ihrem Speicher 12 0 ab. Anschlieflend versendet die Verwal- 
tungseinheit 70 erneut das Wartungstelegramm 110 und empfangt 
sowohl von der Steuerungseinheit 12 als auch von der Signalein- 
heit 18 das zweite Anmeldetelegramm 112. Sie quittiert den Emp- 
fang dieser Anmeldungstelegramme mit dem Quittungstelegramm 116 
und beendet den besonderen Wartungsmodus, was wiederum anhand 
der Linie 122 dargestellt ist. 

Mit diesem beschriebenen Verfahren ist es somit moglich, einen 
an den Feldbus 16 angeschlossenen Busteilnehmer auszutauschen, 
ohne daJ3 man dessen definierte Teilnehmeradresse kennen muJ3. 

In dem nachsten Zeitabschnitt in Fig. 3 ist der Verf ahrensab- 
lauf dargestellt, der sich ergibt, wenn sich mehrere Bus- 
teilnehmer unter der festgelegten Universaladresse "xy M bei der 
Verwaltungseinheit 7 0 anmelden. Wie zuvor beschrieben, wurde 
die Verwaltungseinheit 70 zunachst in den besonderen Wartungs- 
modus versetzt. Sie versendet daraufhin das Wartungstelegramm 
110. Wenn nun sowohl die Steuerungseinheit 12 als auch die Si- 
gnaleinheit 18 mit dem ersten Anmeldetelegramm 114 antworten, 
aktiviert die Verwaltungseinheit 70 eine Fehleranzeige 128 und 
bricht den besonderen Wartungsmodus ab. 

In dem nachsten Zeitabschnitt ist eine weitere Fehlerquelle 
dargestellt. Hierbei ist angenommen, daJ3 der Verwaltungseinheit 
70 nach dem Aktivieren des besonderen Wartungsmodus iiber das 
Eingabegerat 108 eine Teilnehmeradresse ubermittelt wird, die 



28 



bereits einem an den Feldbus 16 angeschlossenen Busteilnehmer 
zugeordnet ist. Die Verwaltungseinheit 70 erkennt aufgrund der 
ihr bekannten Sollkonf iguration der aktiven Busteilnehmer die 
doppelte AdreBvergabe und aktiviert die Fehleranzeige 128. Au- 
13erdem beendet sie wiederum den besonderen Wartungsmodus . 



Patent anspriiche 



Verfahren zum Konf igurieren eines sicheren Busteilnehmers 
(12, 14, 18 - 24) beim AnschlieBen an einen Feldbus (16) 
in einem sicheren Steuerungssystem (10), wobei dem siche- 
ren Busteilnehmer (12, 14, 18 - 24) eine definierte Teil- 
nehmeradresse (90) zugeordnet wird, gekennzeichnet durch 
die Schritte: 

Versenden eines ersten Anmeldetelegramms (114) von 
dem sicheren Busteilnehmer (12, 14, 18 - 24) zu ei- 
ner an den Feldbus (16) angeschlossenen Verwaltungs- 
einheit (70), wobei das erste Anmeldetelegramm (114) 
eine festgelegte Universaladresse (92) beinhaltet, 

- Versenden eines AdreBvergabetelegramms (118) von der 
Verwaltungseinheit (70) an den sicheren Busteilneh- 
mer (12, 14, 18 - 24), wobei das Adretfvergabetele- 
gramm (118) die definierte Teilnehmeradresse (90) 
beinhaltet und 

- Abspeichern der definierten Teilnehmeradresse (90) 
in einem Speicher (58; 120) des sicheren Busteilneh- 
mers . 



Verfahren nach Anspruch 1, dadurch gekennzeichnet , da/3 der 
sichere Busteilnehmer (12, 14, 18 - 24) nach Empfang des 
Adreflvergabetelegramms (118) ein zweites Anmeldetelegramm 
(112) an die Verwaltungseinheit (70) versendet, wobei das 
zweite Anmeldetelegramm (112) die definierte Teilnehme- 
radresse (90) beinhaltet. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 
daJ3 der sichere Busteilnehmer (12, 14, 18 - 24) das erste 
Anmeldetelegramm (114) nach dem Empfang eines definierten 
Wartungstelegramms (110) an die Verwaltungseinheit (70) 
versendet . 

Verfahren nach Anspruch 3, dadurch gekennzeichnet, daJ3 der 
sichere Busteilnehmer (12, 14, 18 - 24) das erste Anmelde- 
telegramm (114) nur nach dem erstmaligen Empfang des defi- 
nierten Wartungstelegramms (110) an die Verwaltungseinheit 
(70) versendet, wahrend er bei einem wiederholten Empfang 
des definierten Wartungstelegramms (110) das zweite Anmel- 
detelegramm (112) an die Verwaltungseinheit (70) versen- 
det. 

Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, 
das definierte Wartungstelegramm (110) nur nach Aktivieren 
(106) eines besonderen Wartungsmodus (106) der Verwal- 
tungseinheit (70) versendet wird. 

Verfahren nach Anspruch 5, dadurch gekennzeichnet, da/5 die 
Verwaltungseinheit (70) den besonderen Wartungsmodus nach 
Empfang des zweiten Anmeldetelegramms (112) automatisch 
beendet ( 122 ) . 
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7. Verfahren nach Anspruch 5 Oder 6, dadurch gekennzeichnet, 
daJ3 der Verwaltungseinheit (70) zu Beginn des besonderen 
Wartungsmodus die definierte Teilnehmeradresse (90) uber- 
mittelt wird (108). 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet , dai3 die 
Verwaltungseinheit (70) ein Fehlersignal (128) erzeugt, 
wenn die iibermittelte Teilnehmeradresse (90) bereits an 
einen an den Feldbus (16) angeschlossenen Busteilnehmer 
(12, 14 , 18 - 24) vergeben ist. 

9. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dai3 die 
Verwaltungseinheit (70) Wartungstelegramme (110) in defi- 
nierten Zeitabstanden an alle an den Feldbus (16) ange- 
schlossenen Busteilnehmer (12, 14, 18 - 24) versendet. 

10. Verfahren nach einem der Anspriiche 1 bis 9, gekennzeichnet 
ferner durch die Schritte : 

Uberprtifen der Anwesenheit aller aktiv an den Feld- 
bus (16) angeschlossenen Busteilnehmer (12, 14, 18 - 
24) anhand einer Sollkonf iguration von Busteilneh- 
mern (12, 14, 18-24) sowie anhand von Antworttele- 
grammen (104) der Busteilnehmer (12, 14, 18 - 24) 
und 

Versenden der Teilnehmeradresse (90) eines als nicht 
mehr aktiv erkannten Busteilnehmers (12, 14, 18 - 
24) als definierte Teilnehmeradresse (90). 
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11. Verfahren nach einem der Anspruche 1 bis 10 , dadurch ge- 
kennzeichnet , daJ3 die Verwaltungseinheit (70) ein Fehler- 
signal (128) erzeugt, wenn mehr als ein Busteilnehmer (12, 
14 , 18 - 24) das erste Anmeldetelegramm (114) versendet. 

12. Verfahren nach einem der Anspriiche 1 bis 11, dadurch ge- 
kennzeichnet , daJ3 zumindest das erste Anmeldetelegramm 
(114) sowie das AdreBvergabetelegramm (118) mit jeweils 
einem Quittungstelegramm (116) beantwortet werden. 

13. Steuerungssystem zum sicheren Steuern von sicherheitskri- 
tischen Prozessen (28 - 32), mit zumindest einem sicheren 
Busteilnehmer (12, 14, 18 - 24), der an einen Feldbus (16) 
angeschlossen ist, wobei der sichere Busteilnehmer (12, 
14, 18-24) erste Mittel (40) zum Aufnehmen und Auswerten 
eines Bustelegramms (80) sowie einen Speicher (58; 120) 
zum Speichern einer dem Busteilnehmer (12, 14, 18 - 24) 
zugeordneten Teilnehmeradresse (90) aufweist, dadurch ge- 
kennzeichnet , daB der Busteilnehmer (12, 14, 18 - 24) 
zweite Mittel (40, 120; 40, 58) aufweist, um sich unter 
einer festgelegten Universaladresse (92) bei einer an den 
Feldbus (16) angeschlossenen Verwaltungseinheit (70) anzu- 
melden, sowie dritte Mittel (42, 54), um ein AdreBvergabe- 
telegramm (118) mit der Teilnehmeradresse (90) aufzunehmen 
und auszuwerten. 
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